So schützen Pfarren die Daten

Gottesdienst in einer Pfarre. Die Namen von alten und kranken Pfarrangehörigen werden vorgelesen und Nachbarn eingeladen, diese zu besuchen. Eine schöne Geste, die die Gemeinschaft stärkt. Doch darf man das alles noch in Zeiten, in denen die Datenschutz-Grundverordnung in allen Firmen, Einrichtungen und Vereinen zum Tragen kommt? Viele sind verunsichert: Wie wendet man den Datenschutz korrekt an? Was fällt nun unter diese neue Verordnung, die ab 25. Mai in der ganzen Europäischen Union gilt? Wo braucht es in den Pfarren und Gruppen ganz allgemein Sensibilisierung im Umgang mit personenbezogenen Daten? 
„Grundsätzlich ist eine Zustimmung einzuholen, wenn die Namen von kranken Menschen vorgelesen werden, da dies datenschutzrechtlich eine Veröffentlichung darstellt“, erklärt Alexander Marktler, Datenschutzreferent der Diözese Linz, zum beschriebenen Fall. Diese könne man jedoch in diesem Fall ausnahmsweise auch mündlich bei den kranken Menschen einholen. In der Regel bedarf die Verwendung von personenbezogenen Daten jedoch einer schriftliche Zustimmung. Das gehört zu den Bereichen, in denen die Pfarren künftig stark gefordert sind. Das trifft etwa immer auf die Veröffentlichung von Daten im Zusammenhang mit Sakramenten (z.B. im Pfarrblatt oder auf der Homepage) in einer Pfarre  zu oder wenn Daten für Online-Anmeldungen zu Veranstaltungen gespeichert werden. Wichtig ist, dass die Zustimmungserklärungen immer exakt angeben, für welche Zwecke die Daten verwendet werden. Wesentlich ist dabei die Informationspflicht nach Artikel 13 DSGVO. Nach dieser Regelung ist die betroffene Person bei der (Direkt-)Erhebung von personenbezogenen Daten umfangreich über die Datenverarbeitung zu informieren.  
Der Datenschutz wird nicht zuletzt dadurch sichergestellt, dass die kirchlichen Mitarbeiter/innen sich zum Datengeheimnis verpflichten. „Auch Ehrenamtliche, die in einer Pfarre mitarbeiten und mit personenbezogenen Daten in Kontakt kommen, müssen das tun“, betont Marktler. Eine Gruppenleiterin, die eine Liste ihrer Jungscharkinder führt, kommt also an der Datenschutz-Grundverordnung auch nicht vorbei.

Entlastung der Pfarren

In einigen Punkten sind die Pfarren beim Datenschutz dennoch entlastet. Das Verzeichnis der Verarbeitungstätigkeit, das anführt, zu welchem Zweck interne Daten verwendet werden, wird vom diözesanen Datenschutzreferenten geführt und muss nicht von den einzelnen Pfarrgemeinden verfasst werden. „Ebenso sind Auskunfts- und Löschbegehren einzelner Personen ausnahmslos an mich zu richten bzw. weiterzugeben“, betont Alexander Marktler.  
Dafür gibt es mit dem Datenschutz verwandte Themen, die Pfarren in ihrem Fokus haben sollten. Das weiß Beate Schlager-Stemmer, zuständig für die pfarrliche Öffentlichkeitsarbeit in der Diözese Linz, aus ihrer täglichen Praxis. Sie macht auf die heiklen Aspekte aufmerksam: „Bei der Veröffentlichung von Fotos mit Kindern im Pfarrblatt oder auf der Homepage ist immer besondere Vorsicht geboten“, so Schlager-Stemmer: „Es ist grundsätzlich immer eine schriftliche Zustimmung einzuholen.“ Für die Erinnerungsfotos von der Erstkommunion oder einem Firmausflug kann das bedeuten: Wenn das Kind oder die Eltern eine Veröffentlichung nicht wollen, ist das Kind nicht auf dem Gruppenfoto. Wenn dennoch Bilder gemacht werden, auf denen ein Kind abgebildet ist, welches das nicht will, dürfen die Bilder nicht verwendet bzw. veröffentlicht werden. Sensibel sind zudem Fotos bei einer Religionsausübung, egal ob Kinder oder Erwachsene. Davon betroffen ist etwa der Kommunionempfang. Schlager-Stemmer: „Ich rate den Pfarren, hier wirklich sehr vorsichtig zu sein und immer die Zustimmung einzuholen“. «

Zur Sache: Datenschutz-Grundverordnung
Die Datenschutz-Grundverordnung (DSGVO) ist ein EU-Gesetz und vereinheitlicht den Datenschutz. Sie ist schon vor zwei Jahren in Kraft getreten, ab dem 25. Mai 2018 muss sie aber angewendet werden. In 99 Artikeln regelt die Europäische Union die Verarbeitung von personenbezogenen Daten. Die Verarbeitung umfasst alles von der Erhebung, Speicherung, Veränderung bis hin zur Auswertung von Daten. Betroffen von der Verordnung sind alle, die sich im Internet bewegen und in irgendeiner Weise Daten verarbeiten. Wer die Vorgaben nicht anwendet, dem drohen Strafen von maximal 20 Millionen Euro oder vier Prozent des Jahresumsatzes.

Was Pfarren beachten müssen 

- Besonders geschützt ist die Verarbeitung personenbezogener Daten, aus denen politische Meinungen oder religiöse Überzeugungen hervorgehen. Aus diesem Grund hat die Kirche fast immer mit sensiblen 
Daten zu tun.
 

- Die Informationspflicht ist immer dann ein Thema, wenn Daten eines Betroffenen erhoben werden – also z.B. bei Sakramentenanmeldungen oder Online-Anmeldungen für einen Newsletter. Dazu wird es ein mit der Bischofskonferenz (BIKO) abgestimmtes  Formular geben, welches dann in den jeweiligen Situationen auszuhändigen ist oder online verlinkt werden muss. Die KirchenZeitung wird informieren.
 

- Daten müssen vor unberechtigtem Lesen, Verändern, Löschen und ­Kopieren geschützt werden. Dies gilt auch für Schriftstücke (Akten, Briefe, Listen etc.), Matrikenbücher und Datenträger.
 

- Wer in der Pfarre mit personenbezogenen Daten (auch Ehrenamtliche!) in Berührung kommt, muss eine Verpflichtungserklärung auf das Datengeheimnis unterzeichnen.

- Werden Daten an Dritte weitergegeben, muss ein Auftragsverarbeitungsvertrag abgeschlossen werden. Beispiel: Die Pfarre lässt das Pfarrblatt von einer Druckerei drucken und mit Adressetiketten bekleben. Aus diesem Grund gibt die Pfarre Adressdaten weiter. Die Pfarre muss einen Vertrag mit der Druckerei abschließen, in welchem sich die Druckerei zur Einhaltung des Datenschutzes verpflichtet.